2018.09.13

기고 | CISO가 생각하는 사이버보안 조치

Jon Oltsik | CSO
CISO들이 비즈니스, 공식 보안 프로세스, 교육 수준 향상 등이 다양한 보안 목표를 우선순위에 두는 것으로 조사됐다.



ESG는 정보시스템보안협회(ISSA)와 공동으로 매년 사이버보안 전문가를 대상으로 이들의 사고방식에 관한 연구 프로젝트를 수행하고 있다. (2017년 보고서는 여기에서 볼 수 있다.) 지난해 연구의 일환으로 우리는 응답자들에게 향후 조직이 사이버보안을 개선하고자 취해야 할 최우선 행동이 무엇인지를 질문했다. 그다음 응답자의 역할에 따라 이 데이터를 분석해 CISO(또는 이와 유사한 직무를 수행하는 임원)의 특정 권장 사항을 검토할 수 있었다.

조사 결과에서 유의미한 내용을 아래와 같이 정리했다.
• 49%는 미래의 현업 임원을 위해 사이버보안 목표와 측정 항목을 추가해야 한다고 밝혔다. 글쎄, 필자는 이 의견에 동의하지만 CISO도 사업 목표를 가져야 한다고 제안하고 싶다. 예를 들어, CISO는 보안 조치를 디지털 변혁과 같은 비즈니스 프로젝트와 연계해 측정해야 한다. 이는 단순히 사고 감지/대응이나 새로운 전략에 관한 배포 일정이 중심이 되는 게 아니다.

• 41%는 조직이 사이버보안 프로세스를 문서로 작성해 공식화 해야 한다고 말했다. 따라서 여기에 너무 많은 조직이 비효율적이고 문서화되지 않은 비공식적인 사이버보안 프로세스를 가지고 있음을 고려해야 한다. 이 문제를 해결하는 것보다 보안 처리량이나 직원 사기에 더 중요한 요소는 없다.

• 40%는 조직이 IT담당자에게 더 많은 사이버보안 교육을 제공해야 한다고 말했다. 많은 CISO의 바람직한 모델은 보안 전문 지식을 IT영역에 포함하는 것이다. 더 많은 훈련이 그러한 방향으로 가는 한 걸음이다.

• 40%는 조직이 애플리케이션 개발 프로세스에서 더 많은 보안 감시 및 테스트를 포함해야 한다고 말했다. 많은 코드가 기능 추가에 관한 것이고 신속하게 작성되므로 이는 좋은 생각이다. 이로 인해 소프트웨어 및 비용이 많이 든다. 또는 감독 및 테스트를 강화하면 보안이 강화되고 비용이 절감된다. 보안이 필요한 개발자는 도움이 될 것이다.

• 40%는 조직이 경영진 및 기업 이사회에 CISO 참여 수준을 높여야 한다고 말했다. 보안이 ‘이사회 의제’가 됐는데도 많은 CISO는 자신들이 필요악으로 취급되는 것처럼 느끼고 있다. 분명 CISO는 감사 결과, 규정 준수 보고서, 최신 데이터 유출에 대한 기본 정보보다 제공할 것이 많다고 생각하고 있다.

• 40%는 조직이 사이버보안 예산을 늘려야 한다고 말했다. 무슨 일을 하는지, 예산을 얼마나 배정하는지는 중요하지 않다.

CISO는 분명 사이버보안을 ‘현업과 IT가 전반적인 노력에 더 많이 기여할 수 있는 팀 스포츠’라고 믿는다. 또한 보안에서는 필요한 전문 지식과 슈퍼스타를 덜 중시하며, 반복 가능하고 측정 가능한 프로세스에 대해서는 더 많이 필요로 한다. 필자에게 매우 현명한 조언처럼 들린다.

*Jon Oltsik은 ESG의 수석 애널리스트이자 이 회사의 사이버보안 서비스 창립자다. ciokr@idg.co.kr
 

2018.09.13

기고 | CISO가 생각하는 사이버보안 조치

Jon Oltsik | CSO
CISO들이 비즈니스, 공식 보안 프로세스, 교육 수준 향상 등이 다양한 보안 목표를 우선순위에 두는 것으로 조사됐다.



ESG는 정보시스템보안협회(ISSA)와 공동으로 매년 사이버보안 전문가를 대상으로 이들의 사고방식에 관한 연구 프로젝트를 수행하고 있다. (2017년 보고서는 여기에서 볼 수 있다.) 지난해 연구의 일환으로 우리는 응답자들에게 향후 조직이 사이버보안을 개선하고자 취해야 할 최우선 행동이 무엇인지를 질문했다. 그다음 응답자의 역할에 따라 이 데이터를 분석해 CISO(또는 이와 유사한 직무를 수행하는 임원)의 특정 권장 사항을 검토할 수 있었다.

조사 결과에서 유의미한 내용을 아래와 같이 정리했다.
• 49%는 미래의 현업 임원을 위해 사이버보안 목표와 측정 항목을 추가해야 한다고 밝혔다. 글쎄, 필자는 이 의견에 동의하지만 CISO도 사업 목표를 가져야 한다고 제안하고 싶다. 예를 들어, CISO는 보안 조치를 디지털 변혁과 같은 비즈니스 프로젝트와 연계해 측정해야 한다. 이는 단순히 사고 감지/대응이나 새로운 전략에 관한 배포 일정이 중심이 되는 게 아니다.

• 41%는 조직이 사이버보안 프로세스를 문서로 작성해 공식화 해야 한다고 말했다. 따라서 여기에 너무 많은 조직이 비효율적이고 문서화되지 않은 비공식적인 사이버보안 프로세스를 가지고 있음을 고려해야 한다. 이 문제를 해결하는 것보다 보안 처리량이나 직원 사기에 더 중요한 요소는 없다.

• 40%는 조직이 IT담당자에게 더 많은 사이버보안 교육을 제공해야 한다고 말했다. 많은 CISO의 바람직한 모델은 보안 전문 지식을 IT영역에 포함하는 것이다. 더 많은 훈련이 그러한 방향으로 가는 한 걸음이다.

• 40%는 조직이 애플리케이션 개발 프로세스에서 더 많은 보안 감시 및 테스트를 포함해야 한다고 말했다. 많은 코드가 기능 추가에 관한 것이고 신속하게 작성되므로 이는 좋은 생각이다. 이로 인해 소프트웨어 및 비용이 많이 든다. 또는 감독 및 테스트를 강화하면 보안이 강화되고 비용이 절감된다. 보안이 필요한 개발자는 도움이 될 것이다.

• 40%는 조직이 경영진 및 기업 이사회에 CISO 참여 수준을 높여야 한다고 말했다. 보안이 ‘이사회 의제’가 됐는데도 많은 CISO는 자신들이 필요악으로 취급되는 것처럼 느끼고 있다. 분명 CISO는 감사 결과, 규정 준수 보고서, 최신 데이터 유출에 대한 기본 정보보다 제공할 것이 많다고 생각하고 있다.

• 40%는 조직이 사이버보안 예산을 늘려야 한다고 말했다. 무슨 일을 하는지, 예산을 얼마나 배정하는지는 중요하지 않다.

CISO는 분명 사이버보안을 ‘현업과 IT가 전반적인 노력에 더 많이 기여할 수 있는 팀 스포츠’라고 믿는다. 또한 보안에서는 필요한 전문 지식과 슈퍼스타를 덜 중시하며, 반복 가능하고 측정 가능한 프로세스에 대해서는 더 많이 필요로 한다. 필자에게 매우 현명한 조언처럼 들린다.

*Jon Oltsik은 ESG의 수석 애널리스트이자 이 회사의 사이버보안 서비스 창립자다. ciokr@idg.co.kr
 

X